Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, funkcje wrap_line i highlight_word generują surowy HTML bez odpowiedniego zabezpieczenia, co pozwala na wstrzyknięcie złośliwego kodu do logów dostępu.
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, funkcja get_ldap_email buduje filtr wyszukiwania LDAP poprzez konkatenację f-stringów, co pozwala na wstrzykiwanie dodatkowych klauzul przez nieodpowiednio przetworzony parametr ścieżki URL z nazwą użytkownika.
W 389 Directory Server wykryto podatność polegającą na przepełnieniu bufora sterty. Podczas serializacji definicji klas obiektów, długość pola oc_superior (SUP) jest pomijana w obliczeniach rozmiaru bufora w funkcjach read_schema_dse() i schema_oc_to_string(), ale pole to jest nadal zapisywane za pomocą strcat(). Atakujący z uprawnieniami Directory Manager lub skompromitowany dostawca replikacji może doprowadzić do awarii serwera poprzez tworzenie klas obiektów z długimi wartościami SUP. Jest to niekompletna poprawka podatności CVE-2025-14905.
W trakcie wewnętrznej oceny bezpieczeństwa odkryto potencjalną podatność na zapis poza granicami w BIOS-ie niektórych produktów ThinkPad, która może pozwolić uprzywilejowanemu lokalnemu użytkownikowi na wykonanie kodu w trybie zarządzania systemem (SMM).
W trakcie wewnętrznej oceny bezpieczeństwa odkryto potencjalną podatność w niektórych firmware'ach kontrolera wbudowanego ThinkPad, która może pozwolić uprzywilejowanemu lokalnemu użytkownikowi na wykonywanie dowolnych odczytów lub zapisów w uprzywilejowanych obszarach pamięci.
Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych nie szyfruje sekretów z przesyłanych formularzy POST config.xml przed ich zapisaniem w plikach konfiguracyjnych zadań. Sekrety są przechowywane w plikach config.xml w formie niezaszyfrowanej, co umożliwia ich przeglądanie użytkownikom z uprawnieniami Item/Extended Read lub dostępem do systemu plików kontrolera Jenkins.
Podatność XSS w Jenkinsie pozwala atakującym z uprawnieniami Agent/Configure na wstrzyknięcie złośliwego skryptu przez nieuciekający opis przyczyny offline agenta ustawiany przez API POST config.xml. Dotyczy to wersji Jenkins 2.483 do 2.567 oraz LTS 2.492.1 do 2.555.2.
Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych nie weryfikuje bezpieczeństwa parametru 'from' w ramach bezpieczeństwa 'Delegate to servlet container', co umożliwia atakującym przeprowadzanie ataków phishingowych poprzez przekierowywanie użytkowników na domeny kontrolowane przez atakujących.
Brak kontroli uprawnień w Jenkins 2.567 i wcześniejszych wersjach, LTS 2.555.2 i wcześniejszych, umożliwia atakującym z uprawnieniami Overall/Read określenie skonfigurowanej strefy czasowej innych użytkowników oraz enumerację nazw widoków innych użytkowników w sekcji 'Moje widoki'.
Brak weryfikacji uprawnień w Jenkins 2.567 i wcześniejszych, LTS 2.555.2 i wcześniejszych, umożliwia atakującym z uprawnieniami Item/Cancel, ale bez uprawnień Item/Read, anulowanie elementów w kolejce, do których nie mają dostępu.
Podatność w Jenkins 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych polega na nieprawidłowym określaniu, że adres URL przekierowania po logowaniu jest legalnie skierowany do Jenkinsa, gdy zawiera znaki tabulacji lub nowej linii między `//`. Umożliwia to atakującym przeprowadzanie ataków phishingowych.
Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych nieprawidłowo określa, że adres URL przekierowania po zalogowaniu prawidłowo wskazuje na Jenkins, gdy zawiera segmenty ścieżki względnej (`./` lub `../`). To umożliwia atakującym przeprowadzanie ataków phishingowych.
Ghidra w wersjach przed 12.1.1 zawiera podatność na niekontrolowaną alokację pamięci w parserze binarnym Mach-O, co pozwala atakującym na wywołanie odmowy usługi. Atakujący może dostarczyć spreparowany plik Mach-O z dowolnie dużą wartością ncmds, co zmusza parser do alokacji nadmiernej pamięci na stercie, co prowadzi do awarii JVM Ghidra.
Ghidra przed wersją 12.1 zawiera podatność typu heap-use-after-free w funkcji HighVariable::merge() podczas łączenia zmiennych. Atakujący mogą wykorzystać tę podatność, tworząc binarny plik, który powoduje dereferencję przestarzałych wskaźników w pamięci podręcznej HighIntersectTest::highedgemap.
Ghidra przed wersją 12.2 zawiera podatność na nieautoryzowany dostęp do systemu plików w IsfServer, który akceptuje połączenia TCP i przekazuje dostarczone przez klienta ciągi nazw przestrzeni bez walidacji. Zdalni atakujący mogą połączyć się z portem 54321 i wysyłać spreparowane wiadomości protobuf z sekwencjami przejścia, aby enumerować ścieżki systemu plików i badać dowolne pliki.
Ghidra w wersjach przed 12.0.3 zawiera podatność na wyczerpanie pamięci w funkcji rust_demangle, która alokuje nieograniczone bufory wyjściowe bez limitów rozmiaru. Atakujący mogą stworzyć złośliwe nazwy symboli Rust w binariach, co prowadzi do wykładniczej alokacji pamięci i awarii procesów podczas analizy binarnej.
Ghidra przed wersją 12.1 zawiera podatność typu heap-use-after-free w funkcji SleighBuilder::generatePointerAdd, spowodowaną unieważnieniem iteratora podczas ponownej alokacji wektora przez PcodeCacher::allocateInstruction. Atakujący mogą wywołać uszkodzenie pamięci, dekompilując złośliwe binaria za pomocą publicznego interfejsu C++ Sleigh::oneInstruction.
Ghidra w wersji 10.2 przed 12.1 zawiera podatność na niekontrolowane zużycie zasobów w funkcji ExportTrie.parseTrie(). Brak detekcji cykli podczas przetwarzania binarnych plików Mach-O prowadzi do nieograniczonego wzrostu kolejki i wykładniczej konkatenacji łańcuchów.
Debusine to zintegrowane rozwiązanie do budowy, dystrybucji i utrzymania dystrybucji opartej na Debianie. Parser używany do odczytu plików manifestu akceptował dowolne, w pełni kontrolowane przez użytkownika ścieżki, co mogło prowadzić do tworzenia dowolnych linków symbolicznych na serwerze roboczym.
Debusine to zintegrowane rozwiązanie do budowy, dystrybucji i utrzymania dystrybucji opartej na Debianie. Punkty końcowe, które tworzą i usuwają relacje między artefaktami, nie wprowadzają żadnych kontroli uprawnień poza możliwością zobaczenia odpowiednich artefaktów.

